一种电力5g切片安全应用与管理方法
技术领域
1.本发明涉及5g技术领域,特别是一种电力5g切片安全应用与管理方法。
背景技术:
2.5g作为运营商面向公众提供服务的新一代无线通信技术,将极大的改变现有网络体系的运行模式。随着5g技术的逐步商用以及对垂直行业的开放,行业应用将会吸引更多的恶意攻击。电网是拥有庞大用户群体的关键行业领域,面临被攻击风险将更加突出,一旦遭受攻击,可能给国家、社会和企业带来严重危害。电力系统的安全防护体系进入到5g时代,也带来一系列的网络安全问题,对电网的防护提出新的安全需求。
技术实现要素:
3.有鉴于此,本发明的目的在于提供一种电力5g切片安全应用与管理方法,实现电力5g切片网络的试验、校正工作。搭建电力5g切片综合管理系统,可实现电力终端通信的可管可控,全面支撑5g切片网络的监视、运维工作。
4.为实现上述目的,本发明采用如下技术方案:一种电力5g切片安全应用与管理方法,包括5g切片网络的资源全生命周期管理方案、电力5g切片网络架构及组网方案、5g切片设备直采的数据采集技术、5g切片网络资源调配技术、电力5g切片安全部署应用方案及电力切片网络安全管理技术;
5.5g切片网络的资源全生命周期管理方案包括切片资源模型管理及切片的自动化开通;
6.电力5g切片网络架构及组网方案包括提出接入网、承载网、核心网切片部署策略和提出优化设计电力5g切片网络架构及组网方案;
7.5g切片设备直采的数据采集技术包括提出设备直采的数据采集技术的典型协议、提出设备直采的数据采集技术协议栈一体化以及智能化匹配以及双维度数据验证技术;
8.5g切片网络资源调配技术包括智能切片资源调配及端到端的自动化编排开通;
9.电力5g切片安全部署应用方案包括提出电力5g切片安全部署架构和提出电力5g切片安全部署资源分配方法;
10.电力切片网络安全管理技术包括提出电力切片网络面临的安全威胁、提出网络切片安全技术途径及提出网络切片安全技术实现方式。
11.在一较佳的实施例中,5g核心网的切片开通具体为共享方式的配置开通或实例拉起方式的独享资源开通;具体包括第一类型、第二类型及第三类型;所述第一类型具体为资源共享方式切片,即新建切片不涉及upf下沉,或者分配单独的网络,而是在核心网层面配置切片标识(snnai)实现业务开通;所述第二类型具体为控制面共享,用户面独占切片,即切片控制面c面共享,为每一个切片分配独立的upf,upf为虚拟化或物理一体化;所述第三类型具体为资源独享切片,即切片控制面c面,u面均独享。
12.在一较佳的实施例中,切片的自动化开通具体通过切片编排系统、子切片管理系
统、厂家omc对切片模板的分层解析以及各层系统间的标准接口;具体包括5g切片业务模板化、模型驱动的动态服务引擎以及状态驱动的标准化的配置激活过程。
13.在一较佳的实施例中,提出接入网、承载网、核心网切片部署策略具体包括接入网切片部署模式、承载网切片能力的实现以及核心网切片部署模式、多业务场景下的网络端到端切片策略、多业务场景下的网络端到端切片管理方法;
14.接入网切片部署模式在部署上,根据不同的业务场景以及资源情况,对无线网进行有源天线单元、分布单元及集中单元功能的灵活切分和部署;针对电力高级计量的mmtc场景,进行集中部署,获取集中化处理的优势;针对电力高清视频监控、智能巡检embb场景,cu集中部署的位置根据时延要求来确定;而针对电力差动保护、精准负荷控制urllc场景,采用共部署的方式;
15.承载网切片是通过对网络的拓扑资源,如链路、节点、端口及网元内部资源,进行虚拟化,按需组织成多个虚拟网络,即切片网络;承载网转发面的切片分为软切片技术和硬切片技术;
16.核心网切片部署模式根据sla、成本及安全隔离需求以及标准化进展,核心网切片当前支持控制面共享、用户面不共享的组网方式;核心网通过统一数据管理为不同ue签约不同的切片,支持基于网络切片选择功能智能化选择切片;nssf通过ue请求的网络切片选择辅助信息和签约的nssai、位置区域、切片容量及切片当前负荷信息进行切片的灵活选择,为ue计算允许接入的nssa和具体的网络切片实例。
17.在一较佳的实施例中,端到端的自动化编排开通具体包括基于意向的业务模型设计、模型驱动的端到端的自动化编排开通及基于5g-mec计算平台的业务编排技术;
18.从业务自身需求出发,根据业务特征、关系、行为与策略建立基于意向的可复用的业务模型,重点是提取业务特征而不是如何实现;业务模型是可拆解复用的对象组件模型,其业务特征的变化会触发业务动作,业务动作通过关系和策略来表达和驱动;支持vnf模型具备csar文件导入解析能力,以及提供创建多厂家和不同类型vnf网元的服务接口,ns模型管理支撑自定义配置vnf、vl以及vnf的外部cp与vl的连接关系,最终生成用于实例化ns的nsd;以及面向5g切片、子切片nst、nsst模型;
19.网络切片模板nst-nsst-nsd-vnd分层如下:网络切片模板的基本信息、网络切片sla参数模型;
20.切片设计模块负责资源、网络服务、业务设计,提供可视化建模及设计工具,提供各类服务对象的基础数据管理,服务对象能力api的基础信息的管理;
21.模型驱动的端到端的自动化编排开通按照设计出的5g切片tosca模型进行解析nst(nsmf)-》解析nsst(nssmf)-》解析配置脚本(omc)-》配置切片参数(设备),并与ct设备厂家nssmf对接,最终实现5g切片端到端的自动化编排开通。
22.与现有技术相比,本发明具有以下有益效果:
23.本发明针对电力5g切片网络差异化需求,通过5g切片网络接口需求研究及传输协议设计,为后续电力5g切片的管理及运维提供支撑。通过研发5g承载网切片软件、硬件装置,可实现电力5g切片网络的试验、校正工作。搭建电力5g切片综合管理系统,可实现电力终端通信的可管可控,全面支撑5g切片网络的监视、运维工作。
附图说明
24.图1为本发明优选实施例的电力5g切片网络架构及应用关键技术架构;
25.图2为本发明优选实施例的资源共享切片;
26.图3为本发明优选实施例的控制面共享、用户面独占切片;
27.图4为本发明优选实施例的资源独享切片;
28.图5为本发明优选实施例的nst模型;
29.图6为本发明优选实施例的端到端网络切片策略示意图;
30.图7为本发明优选实施例的基于机器学习的电力调控业务的切片管理及控制方案;
31.图8为本发明优选实施例的服务功能链的部署示例。
具体实施方式
32.下面结合附图及实施例对本发明做进一步说明。
33.应该指出,以下详细说明都是例示性的,旨在对本技术提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本技术所属技术领域的普通技术人员通常理解的相同含义。
34.需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本技术的示例性实施方式;如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
35.一种电力5g切片安全应用与管理方法,参考图1至6,包括5g切片网络的资源全生命周期管理方案、电力5g切片网络架构及组网方案、5g切片设备直采的数据采集技术、5g切片网络资源调配技术、电力5g切片安全部署应用方案及电力切片网络安全管理技术。
36.(1)5g网络切片的引入给网络带来了极大的灵活性,主要体现在切片可按需定制、实时部署、动态保障。为了实现这些功能,对于上层业务由vnf形成的每个切片实例,需要引入专门的管理网元
37.csmf/nsmf/nssmf来实现切片实例的全生命周期管理,包含设计、实例化、配置、激活、运行、终结(去激活)阶段。端到端切片的实现不仅需要端对端的管理,还需要从物理层到资源层到切片层到应用层跨各层次的关联管理。具体内容如下:
38.1)切片资源模型管理
39.切片资源模型管理:5gc核心网的切片开通既可以是共享方式的配置开通,也可以是实例拉起方式的独享资源开通。
40.第一类型:资源共享方式切片
41.新建切片不涉及upf下沉,或者分配单独的网络,而是在核心网层面配置切片标识(snnai)实现业务开通。
42.第二类型:控制面共享,用户面独占切片
43.切片控制面c面共享,为每一个切片分配独立的upf,upf可以是虚拟化,也可以是物理一体化;
44.第三类型:资源独享切片
45.切片控制面c面,u面均独享;
46.通过提供标准化的在线设计功能,以及固化的切片模板,极大的方便了端到端切片的设计(各专业子切片的排列组合)、各专业子切片的设计,能通过图形化界面直观的设计切片关联的物理资源(基站、传输设备、核心网设备、云资源池)、逻辑资源(频谱、flexe端口、隧道、vlan、vnf),资源的具体配置(5qi、vlan优先级、切片业务标识s-nsssai、切片实例标识nsi id)。切片设计过程中涉及的各部门、各专业可基于业务需求,在同一个切片模板上进行拖拉拽设计,方便跨部门的协调,减少线下会议交流的不可预估性,方便、快捷的实现端到端切片的整体设计。
47.2)切片的自动化开通
48.通过切片编排系统、子切片管理系统、厂家omc对切片模板的分层解析,以及各层系统间的标准接口,可实现切片的自动化开通。自动化开通方式减少了手工配置的错误率,缩短了开通时间,且更容易从上层网管对开通过程进行监控、评估。
49.①
5g切片业务模板化
50.从客户业务需求出发,支持5g切片按照vnf、nsd、nsst及nst等tosca模型来定义不同的功能组件的虚拟的专网服务,从而为不同类型业务的特定需求提供专用的sla服务。
51.②
模型驱动的动态服务引擎
52.通过动态服务引擎实现对业务模型的自动分解与编排,实现模型驱动的面向业务的自动化管理,以实现业务敏捷发放。通过动态业务模型的分解与编排,将复杂的业务激活需求简化为一系列基础的网络业务/资源的状态驱动的标准配置激活动作。
53.③
状态驱动的标准化的配置激活过程
54.通过标准化的激活过程管理,最终实现一套相互独立的、基础的、可复用的配置激活接口交互服务,并由此构建轻量的参数可配置的南向接口适配层。
55.(2)电力无线网络中存在控制类、采集类和移动应用类等多样化的业务类型,这些复杂的业务在时延、吞吐量、可靠性、连接密度等方面的需求也各不相同,对电力通信能力提出更高要求。首先,研究接入网、承载网、核心网切片部署策略;其次,研究电力5g切片整体网络架构及组网方案。实现在同一物理网络上利用有限网络硬件资源承载类型多样化、需求差异化的电力5g业务。具体设计内容如下:
56.1)提出接入网、承载网、核心网切片部署策略
57.①
接入网切片部署模式
58.在部署上,根据不同的业务场景以及资源情况,对无线网进行有源天线单元/分布单元/集中单元(activeantennaunit/distributed unit/centralized unit,aau/du/cu)功能的灵活切分和部署。通常来说,针对电力高级计量的这类mmtc场景对时延和带宽是无要求的,可以尽量进行集中部署,获取集中化处理的优势;针对电力高清视频监控、智能巡检等embb场景对带宽要求都比较高,对时延要求差异比较大,cu集中部署的位置可根据时延要求来确定;而针对电力差动保护、精准负荷控制等urllc场景对时延要求极其苛刻,一般会采用共部署的方式,来降低传输时延的损耗。
59.②
承载网切片能力实现
60.承载网网络切片是通过对网络的拓扑资源(如链路、节点、端口及网元内部资源)进行虚拟化,按需组织成多个虚拟网络,即切片网络。承载网转发面的切片可分为软切片技
术和硬切片技术。软切片是在二层或以上,基于统计复用的切片技术,如:基于分段路由(segment routing,sr)的隧道技术,基于虚拟专用网(virtual private network,vpn)、虚拟局域网(virtual localareanetwork,vlan)等的虚拟化技术,可承载智能电网采集管理类业务,如视频监控、办公业务等。硬切片是在一层或光层,基于物理刚性管道的切片技术。如:灵活以太网(flexible ethernet,flexe)技术,光传输网(optical transmissionnet,otn)技术,波分复用(wavelength divisionmultiplexing,wdm)技术等,可用于承载智能电网生产控制类业务,保证安全隔离、超低时延的要求。在实际应用中,也可以采用混合硬切片、软切片的方案,硬切片方式保证业务的隔离安全、低时延等需求,软切片方式支持业务的带宽复用。对于不同业务的差异化需求,综合考虑成本、安全、运营管理等因素,灵活选择网络、设备或者转发面切片。
61.③
核心网切片部署模式
62.根据sla、成本、安全隔离等需求以及标准化进展,核心网切片当前支持控制面共享、用户面不共享的组网方式。核心网通过统一数据管理(unified datamanagement,udm)为不同ue签约不同的切片,支持基于网络切片选择功能(network slice selection function,nssf)智能化选择切片。nssf可以通过ue请求的网络切片选择辅助信息(network slice selectionassistance information,nssai)和签约的nssai、位置区域、切片容量、切片当前负荷等信息进行切片的灵活选择,为ue计算允许接入的nssa(allowednssai)和具体的网络切片实例(network slice instance,nsi)。基于位置信息可以实现大区、省市等大切片的部署,也可以实现如差动保护、智能巡检等小微切片的部署。同时,5g核心网支持通过网络数据分析功能(network dataanalytics function,nwdaf)实时采集网络切片的性能指标,如用户数、当前吞吐量、平均速率等,nssf从nwdaf获取相关的数据并结合ai执行智能化的切片选择策略。
63.2)提出优化设计电力5g切片网络架构及组网方案
64.电力5g业务场景下的网络切片总体从设备端层面和管理控制层面分析。设备端层面主要包括不同切片应用场景的电力终端,管理控制层面主要包括基站、传输承载、核心网等网络,共同为电网提供网络切片服务。并可根据电力业务的不同分区,在三大网络切片基础上,进一步为电力企业不同的业务提供不同的子切片服务,保证电力业务的安全隔离要求,通过与电力各类业务系统对接,实现电力终端至主站系统的可靠承载。
65.3)提出多业务场景下的网络端到端切片策略
66.5g网络切片技术可以满足电力调控业务的多样性需要。一个完整的网络切片应该具备逻辑完整、切片隔离、定制化和可动态伸缩的特征,拟将电力调控业务场景下的网络端到端切片整体解决策略总体分为接入网、传输网、接入网三个方面去分析,简略的端到端网络切片策略如图6所示:
67.核心网作为直接承载业务的网络层级,核心网的设计对于实现整个端到端网络切片至关重要。拟利用虚拟化技术将分组核心网(evolved packet core,epc)虚拟化成虚拟epc,并以容器的的形式实现各虚拟epc之间的隔离。
68.传输网切片主要依靠sdn相关技术实现。基于sdn架构和虚拟化技术能够实现传输网资源的灵活划分,满足5g网络中不同场景的业务需求。
69.接入网作为端到端网络切片中的一个关键组成部分,需要根据调控业务的sla需
求,进行灵活的定制。
70.综上所述,通过对核心网、传输网、接入网三部分的网络设计,可实现电力调控业务场景下的网络端到端切片部署。
71.4)提出多业务场景下的网络端到端切片管理方法
72.考虑电力调控业务场景的多样性、电力信息传输的不确定性,电力5g切片管理需要逐步向自主化、动态化发展,实现切片的智能化管理。本发明采用基于机器学习的方法实现端到端切片的控制及管理。机器学习则被认为是实现管理自动化、智能化的一种重要方法。机器学习是指在理论、方法、技术及应用系统方面研究人类社会的智能行为,通过神经网络等算法对数据内部信息进行挖掘,建立输入输出映射神经网络模型,进而可实现对未知参数的精准预测。
73.基于机器学习的电力调控业务的切片管理及控制方案如图7所示:
74.针对不同电力调控业务场景,首先,分析5g电力业务特征,收集端到端网络的电力业务特征,输入至卷积神经网络进行学习,建立机器学习模型。其次,根据实时电力业务,完成切片创建、切片应用、切片更新、切片释放与回收、切片再分配五个步骤,以实现切片管理与控制。
75.(3)5g核心网切片主要采用nssf实现切片的选择。nssf(network slice selection function)支持基于nssai(network slice selection assistance information)、位置信息、切片负荷信息等各种策略,智能化的选择切片。基于位置信息可以实现全国、省市等大切片的部署,也可以实现如工业园区、奥体中心、智慧小区等小微切片的部署。同时,5g核心网支持通过nwdaf(network data analytics function)实时采集网络切片的性能指标,如用户数、当前吞吐量、平均速率等,nssf从nwdaf获取相关的数据并结合ai执行智能化的切片选择策略。具体的设计内容包括:
76.1)智能切片资源调配
77.根据覆盖区域,自动生成符合用户业务需求的组网拓扑,根据组网拓扑选择符合用户业务需求的各子网资源
78.逻辑资源包括:
79.无线:vlan、基站子接口ip
80.承载:vlan、vcid、vrf
81.核心:vlan、新实例化网元管理ip、接口ip、业务ip
82.无线:采用qos实现无线子网切片的动态资源分配或资源预留,调用无线网管接口进行切片部署;
83.承载:目前采用软切(l3vpn),中远期采用flexe sr方式,承载网控制器实现(通道和切片标志映射在tn-nssmf中),通过承载网控制器进行切片部署;
84.核心:通过nfvo拉起虚拟nf,通过5gc网管进行切片配置部署
85.2)端到端的自动化编排开通
86.①
基于意向的业务模型设计
87.从业务自身需求出发,根据业务特征、关系、行为与策略建立基于意向的可复用的业务模型,重点是提取业务特征而不是如何实现。业务模型是可拆解复用的对象组件模型,不是烟囱式的单体结构,其业务特征的变化会触发业务动作,业务动作通过关系和策略来
表达和驱动。支持vnf模型具备csar文件导入解析能力,以及提供创建多厂家和不同类型vnf网元的服务接口,ns模型管理支撑自定义配置vnf、vl以及vnf的外部cp与vl的连接关系,最终生成用于实例化ns的nsd;以及面向5g切片/子切片nst、nsst模型;
88.网络切片模板nst-nsst-nsd-vnd分层如下:
89.网络切片模板的基本信息(如:标识、网络切片类型、优先级等)
90.网络切片sla参数模型(如:覆盖区域、时延、容量、移动性、可靠性等)
91.网络切片所包含的无线、传输和核心网的切片子网模型nsst信息和网络切片策略信息(如:sla闭环策略、自愈策略等)
92.切片设计模块负责资源、网络服务、业务设计,提供可视化建模及设计工具,是网络能力面向业务运营、网络运行的网络就绪、自动化部署及开通等的支撑。提供各类服务对象的基础数据管理,服务对象能力api的基础信息的管理。
93.②
模型驱动的端到端的自动化编排开通
94.按照设计出的5g切片tosca模型进行解析nst(nsmf)-》解析nsst(nssmf)-》解析配置脚本(omc)-》配置切片参数(设备),并与ct设备厂家nssmf对接,最终实现5g切片端到端的自动化编排开通。
95.3)基于5g-mec计算平台的业务编排技术
96.业务编排是在业务部署的时候,基于网络的各种基础设施,生成满足业务需求的网络功能,并自动化地执行功能部署及调整。本项目拟基于nfv技术,实现面向电力业务的业务编排。nfv技术是一种通过标准的it虚拟化技术,把网络功能以软件的形式统一部署到工业化标准的高性能、大容量的服务器、交换机和存储平台上的新一代网络通信技术。nfv技术主要以端到端的服务功能链的形式为电力业务提供灵活的服务,服务功能链定义了一组排列顺序固定的虚拟网络功能,电力业务的流量需要按照排列的顺序经过网络功能。因此,研究电力业务的编排技术,就需要研究如何将电力业务对应的服务功能链高效的编排到底层的5g mec网络中,求解mec网络资源的最优化分配方案。
97.服务功能链的部大致可以分为虚拟网络功能的部署和连接虚拟功能的虚拟链路的部署两部分。图8给出了一条服务功能链部署的示意图,该条服务功能链共有5个虚拟网络功能,服务功能链编排器依据服务功能链的请求以及当前网络状态,将服务功能链所需的vnf分配在mec节点1、mec节点5、mec节点2、mec节点4、mec节点3上,另一方面,编排器为该条服务功能链规划的路径为(s,1)
→
(1,5)
→
(5,2)
→
(2,4)
→
(4,3)
→
(3,d)。
98.服务功能链的部署问题是一种典型的np-hard的最优化动态任务调度问题,服务链部署算法需要在满足服务功能链的资源需求、服务质量需求等需求的前提下完成服务功能链的部署,并在某一种优化目标上取得最优值(例如成本、能耗、时延、负载均衡等),解决该类最优化问题的算法一般包括启发式算法、人工智能算法等。
99.由于mec网络中的计算资源、带宽资源等网络资源十分有限,所以可将以服务链部署的成本作为优化目标,即最小化服务链部署消耗的物理资源,包括虚拟功能消耗的计算资源和存储资源以及虚拟链路消耗的带宽资源等,以缓解mec网络的服务压力。
100.(4)在电力网络中,不同电力应用场景对网络的带宽、时延、抖动、授时等因素需求不同。通过单一网络同时为不同电力应用场景提供服务,会导致网络架构复杂、网络管理效率和资源利用效率低下。因此,电力网络需要依托5g网络构建融合核心网,通过利用电力5g
切片来实现复杂业务功能,满足差异化场景需求。然而,不同的虚拟网络共享底层物理资源,使不同切片间可能存在无意或恶意的干扰行为,造成性能下降或信息泄露。因此,需要研究电力5g切片安全部署架构,提出电力5g切片安全部署资源分配方法。具体设计内容如下:
101.1)提出电力5g切片安全部署架构
102.当智能设备初始附着到网络时,就会触发网络切片的选择过程。切片的选择过程取决于智能设备的签约数据、本地配置信息、漫游协议、运营商的策略等,在网络切片的选择过程中,需要综合考虑以上参数,才能为终端选择最佳的切片类型。在网络架构中引入ssf节点,网络切片选择功能(ssf)具有以下功能(网络切片选择功能可以部署在接入网侧、核心网侧)。
103.附着流程:在初始附着流程中ssf基于ue的签约信息和业务类型等参数为用户选择一个合适的切片。ssf在选择切片之前还会执行ue的标识检查过程。ssf可能将ue连接到一个默认的切片上或者是一个ue专有的切片上。ssf为ue选择合适的切片之后,还可能继续执行网络节点选择功能(nnsf),并将选择的控制面节点标识发送给ran;或者是ssf选择网络切片之后,将选择的切片标识传递给ran节点,再由ran执行nnsf,进行切片内部的节点选择过程。
104.业务请求流程:ran节点基于初始附着流程中为ue分配的专有切片标识,先将匹配某一电力业务请求消息转发至切片共享的移动性管理网络功能模块。移动性管理网络功能模块判断用户当前附着的切片是否可以为用户提供所需要的业务。如果不能为用户提供所需业务,移动性管理网络功能模块将转发ue的业务请求消息至ssf,由ssf决定切片的类型。ssf根据用户提供的信息以及ue的签约数据,为用户选择含适的网络切片。
105.为进行电力切片选择,电力网络切片架构将控制面功能分为通用控制面功能(ccnf)和网络切片相关控制面功能(slice cpnf,scnf)。其中通用控制面功能ccnf在多个切片实例间共享。除此之外,切片实例还共享用户签约库和策略控制功能。ccnf中包含认证及授权、网络切片实例选择器(nsis elector)、网络功能实例选择器(nfis elector)、nas路由、移动性管理(mm)功能。用户的签约数据库中包含ue所允许接入的网络切片实例信息,ccnf可根据该信息决定是否允许用户接入某个网络切片。
106.位于ccnf中的nsis elector负责为ue选择所接入的网络切片。当ue接入时,ue会携带相关的辅助信息(如service type、ue type、nsiid、temporaryid等),nsis elector根据ue提供的辅助信息,结合ue签约所允许接入的网络切片类型,确定将ue接入一个或多个网络切片。在完成nsi的选择之后,nfs负责从所选nsi中选择对应的控制面功能(scnf),以便将用户的控制面信息发送到scnf中,进行下一步处理。在该架构中,网络切片实例分别有自己独立的用户面实例。
107.2)提出电力5g切片安全部署资源分配方法
108.基于上述构建的电力5g切片安全部署架构,电力5g切片资源动态分配流程如下。
109.首先,引入图论来对物理网络中可以部署微服务和参与网络切片的节点和链路集合进行建模和描述。在建模过程中,考虑网络切片及微服务的隔离特性,允许多个微服务组件部署在同一个网络节点上,同时由于节点资源的限制,一个微服务也可分布式地部署在多个虚拟化节点上。每个虚拟化节点可以提供一定量的资源来承载微服务。在一个完整的
电力5g切片中,特定硬件的网元功能是不同的,虚拟化网元运行在虚拟节点的虚拟机中,需要为每个网络切片分配一定量的资源,包括cpu、内存、硬盘等。
110.其次,采用线性映射模型,将电力5g切片对资源的需求量建模为其承载业务数据量的线性函数。同时,利用缩放系数来定义电力5g切片对业务流量的影响。在此基础上,综合考虑网络成本、开销、电力5g切片安全等性能,可以得到一个切片构建、切片映射以及微服务调度的动态组合资源分配优化问题。
111.最后,采用启发式的并能协调来求解该复杂优化问题,获得电力5g切片安全部署资源分配算法。考虑到线上动态部署和调整切片的情形,设计一种启发式的快速求解电力5g切片资源管理的算法,可以通过以下两部分来完成:第一步,基于维特比算法的单步最优流量调度和资源分配进行算法设计。第二步,基于启发式的多路径贪婪算法(mpg)完成进一步的电力5g切片安全架构设计。
112.(6)5g网络除了需要支持移动互联网业务场景之外,还需要支持工业互联网、车联网以及物联网为典型代表的垂直行业应用场景,因此传统的安全防护机制将难以满足5g时代新的安全需求。需要结合电力切片在各类电力业务的应用场景,设计电力切片网络安全管理方法。通过分析5g电力切片网络面临的安全威胁,并对网络切片安全技术途径进行设计,最后提出网络切片安全管理技术。具体设计内容如下:
113.1)提出电力切片网络面临的安全威胁
114.电力网络切片面临的安全威胁包括切片的安全隔离保障、终端接入切片的安全保障、切片的安全管理保障、切片内部实施子切片间的接口保护等,具体如下。
115.网络切片的安全隔离:在没有隔离的情况下,攻击者可以从一个切片发起向另一个切片的攻击。具有弹性容量特性的切片可能消耗其它切片的资源,导致其它切片资源不足;攻击者还可以在非法接入一个切片之后,窃取其它切片的信息,特别是在当单个终端同时接入多个网络切片时,终端的隔离性问题非常重要。
116.终端接入切片的安全:在终端进行切片选择过程中,数据有可能被篡改或伪造,这可能导致切片选择错误,使终端不能从正确的切片获得服务或者使未订阅服务的终端被接入切片;用户在网络切片选择过程中使用的隐私信息可能被拦截或监听;如果终端接入切片缺乏认证和授权,则非授权的终端可能会进入到网络切片中消耗切片资源;如果对服务的接入缺乏合适的授权机制,则可能导致不同类型的攻击行为。如果接入过程没有受到保护,窃听接入链路的攻击者可能获得一些敏感服务权限,甚至得到相关的信息并劫持正在进行的会话注入自己的数据报文;攻击者还可通过重放窃听到的报文,导致系统不必要的运行超载,影响系统可用性和服务质量。
117.网络切片管理的安全:系统向操作者提供了对切片的管理能力,比如设置资源共享的参数或者动态创建网络切片,这种能力必须掌握在被授权的操作者手上。攻击者如果非法获取了对切片的管理能力后,终止一个切片的运行或者损害一个关键的网络功能。
118.切片内部通信安全:当网络切片完成专用网络功能的时候,切片之间的通信将不可避免。
119.2)提出网络切片安全技术途径
120.针对电力切片网络存在的隔离、安全传输等问题,首先需要研究虚拟网络切片的构建技术,建立虚拟网络安全服务功能模型,为不同安全等级的虚拟网络切片的构建提供
理论支撑与方法指导;研究基于nfv/sdn的多级密码安全保障机制,建立切片内、切片间的安全通道,确保数据传输的机密性、完整性以及防重放攻击等。研究切片内与切片间的数据转发与边界控制机制,实现子切片间数据的安全转发,并实施基于安全策略的数据流控制,防止非法或未授权数据流的越界;
121.其次,在网络切片的安全隔离技术方面,构建一个独立的安全资源通道,以达到不同切片之间私有数据、网络资源、安全资源的隔离,从而防止数据的流动,资源的侵占,以避免用户信息的泄漏。网络切片技术将会支持更加丰富的服务和应用,不同的业务产生差异化的安全需求,针对不同业务功能的虚拟网络切片的安全保护机制需要作出相应的调整和改变,保障不同应用场景下切片间存在的差异化安全机制,如算法、协议甚至机制完全不一样。
122.再次,电力系统需要支持海量设备的接入管理,因此需要考虑终端设备与网络切片间的安全接入问题,同时兼顾效率,实现无线移动终端设备的高效安全接入。需要通过研究各种差异化接入场景下的认证和授权方法、密钥共享方式,研究制定统一的切片安全接入框架和流程。
123.3)提出网络切片安全技术实现方式
124.切片隔离
125.根据网络切片要求的定义功能,基于签约数据、网络策略和能力用户分配到网络切片的不同实例中,每个切片应该具有独立的安全策略,以稳固的方式相互隔离。当单个用户通过多个网络切片访问服务时,要提供切片间的安全隔离。网络切片安全隔离需要考虑网络切片实例的标识、切片选择和漫游场景,应确保网络切片实例资源不会相互影响。
126.切片接入认证
127.为了确保能够为用户正确选择和访问切片,将合适的网络切片分配给适当的签约用户,要保证切片的接入认证安全。当用户接入切片时,对切片进行注册,通过切片访问控制保证用户接入正确切片,通过会话机制防止用户的未授权访问。在切片选择过程中,提供交互消息的真实性、完整性和机密性的能力。
128.安全机制的差异化
129.5g网络切片应支持在认证方法、凭证类型、用户存储库、控制策略和安全策略方面的安全机制差异化。安全策略可能包括隔离策略、加密算法、完整性保护算法、密钥长度以及密钥到期策略。应为每个网络切片定义不同的访问安全机制以及会话安全机制。
130.切片的通信安全
131.根据网络切片功能的敏感级别和网络租户的需求,对网间切片接口和通信进行保护。在切片和外部网络进行通信时,切片内vnf与外部网络vnf之间相互进行认证,设置允许vnf之间访问的白名单防止非法通信,且设置访问频率监控,防止dos/ddos攻击。在不同切片间通信时,切片间在管理层通过分权分域实现切片管理和编排隔离,通过在网络层划分vlan实现切片之间的逻辑安全隔离,通过硬件资源的物理隔离保证一个切片的异常不会影响其他切片功能,切片之间通过加密隧道保证通信安全。在切片内vnf之间进行通信时,vnf之间进行相互认证保证通信双方可信,vnf之间建立加密隧道保证通信安全。
132.与第三方用户交互的安全
133.第三方垂直行业用户应通过标准化服务接口访问网络切片服务,必须对用户使用
tls执行双向认证,在双向认证之后采用oauth的授权机制对发送的服务请求进行授权,并通过tls方式提供接口之间的完整性保护、抗重放保护和机密性保护。
技术领域
1.本发明涉及5g技术领域,特别是一种电力5g切片安全应用与管理方法。
背景技术:
2.5g作为运营商面向公众提供服务的新一代无线通信技术,将极大的改变现有网络体系的运行模式。随着5g技术的逐步商用以及对垂直行业的开放,行业应用将会吸引更多的恶意攻击。电网是拥有庞大用户群体的关键行业领域,面临被攻击风险将更加突出,一旦遭受攻击,可能给国家、社会和企业带来严重危害。电力系统的安全防护体系进入到5g时代,也带来一系列的网络安全问题,对电网的防护提出新的安全需求。
技术实现要素:
3.有鉴于此,本发明的目的在于提供一种电力5g切片安全应用与管理方法,实现电力5g切片网络的试验、校正工作。搭建电力5g切片综合管理系统,可实现电力终端通信的可管可控,全面支撑5g切片网络的监视、运维工作。
4.为实现上述目的,本发明采用如下技术方案:一种电力5g切片安全应用与管理方法,包括5g切片网络的资源全生命周期管理方案、电力5g切片网络架构及组网方案、5g切片设备直采的数据采集技术、5g切片网络资源调配技术、电力5g切片安全部署应用方案及电力切片网络安全管理技术;
5.5g切片网络的资源全生命周期管理方案包括切片资源模型管理及切片的自动化开通;
6.电力5g切片网络架构及组网方案包括提出接入网、承载网、核心网切片部署策略和提出优化设计电力5g切片网络架构及组网方案;
7.5g切片设备直采的数据采集技术包括提出设备直采的数据采集技术的典型协议、提出设备直采的数据采集技术协议栈一体化以及智能化匹配以及双维度数据验证技术;
8.5g切片网络资源调配技术包括智能切片资源调配及端到端的自动化编排开通;
9.电力5g切片安全部署应用方案包括提出电力5g切片安全部署架构和提出电力5g切片安全部署资源分配方法;
10.电力切片网络安全管理技术包括提出电力切片网络面临的安全威胁、提出网络切片安全技术途径及提出网络切片安全技术实现方式。
11.在一较佳的实施例中,5g核心网的切片开通具体为共享方式的配置开通或实例拉起方式的独享资源开通;具体包括第一类型、第二类型及第三类型;所述第一类型具体为资源共享方式切片,即新建切片不涉及upf下沉,或者分配单独的网络,而是在核心网层面配置切片标识(snnai)实现业务开通;所述第二类型具体为控制面共享,用户面独占切片,即切片控制面c面共享,为每一个切片分配独立的upf,upf为虚拟化或物理一体化;所述第三类型具体为资源独享切片,即切片控制面c面,u面均独享。
12.在一较佳的实施例中,切片的自动化开通具体通过切片编排系统、子切片管理系
统、厂家omc对切片模板的分层解析以及各层系统间的标准接口;具体包括5g切片业务模板化、模型驱动的动态服务引擎以及状态驱动的标准化的配置激活过程。
13.在一较佳的实施例中,提出接入网、承载网、核心网切片部署策略具体包括接入网切片部署模式、承载网切片能力的实现以及核心网切片部署模式、多业务场景下的网络端到端切片策略、多业务场景下的网络端到端切片管理方法;
14.接入网切片部署模式在部署上,根据不同的业务场景以及资源情况,对无线网进行有源天线单元、分布单元及集中单元功能的灵活切分和部署;针对电力高级计量的mmtc场景,进行集中部署,获取集中化处理的优势;针对电力高清视频监控、智能巡检embb场景,cu集中部署的位置根据时延要求来确定;而针对电力差动保护、精准负荷控制urllc场景,采用共部署的方式;
15.承载网切片是通过对网络的拓扑资源,如链路、节点、端口及网元内部资源,进行虚拟化,按需组织成多个虚拟网络,即切片网络;承载网转发面的切片分为软切片技术和硬切片技术;
16.核心网切片部署模式根据sla、成本及安全隔离需求以及标准化进展,核心网切片当前支持控制面共享、用户面不共享的组网方式;核心网通过统一数据管理为不同ue签约不同的切片,支持基于网络切片选择功能智能化选择切片;nssf通过ue请求的网络切片选择辅助信息和签约的nssai、位置区域、切片容量及切片当前负荷信息进行切片的灵活选择,为ue计算允许接入的nssa和具体的网络切片实例。
17.在一较佳的实施例中,端到端的自动化编排开通具体包括基于意向的业务模型设计、模型驱动的端到端的自动化编排开通及基于5g-mec计算平台的业务编排技术;
18.从业务自身需求出发,根据业务特征、关系、行为与策略建立基于意向的可复用的业务模型,重点是提取业务特征而不是如何实现;业务模型是可拆解复用的对象组件模型,其业务特征的变化会触发业务动作,业务动作通过关系和策略来表达和驱动;支持vnf模型具备csar文件导入解析能力,以及提供创建多厂家和不同类型vnf网元的服务接口,ns模型管理支撑自定义配置vnf、vl以及vnf的外部cp与vl的连接关系,最终生成用于实例化ns的nsd;以及面向5g切片、子切片nst、nsst模型;
19.网络切片模板nst-nsst-nsd-vnd分层如下:网络切片模板的基本信息、网络切片sla参数模型;
20.切片设计模块负责资源、网络服务、业务设计,提供可视化建模及设计工具,提供各类服务对象的基础数据管理,服务对象能力api的基础信息的管理;
21.模型驱动的端到端的自动化编排开通按照设计出的5g切片tosca模型进行解析nst(nsmf)-》解析nsst(nssmf)-》解析配置脚本(omc)-》配置切片参数(设备),并与ct设备厂家nssmf对接,最终实现5g切片端到端的自动化编排开通。
22.与现有技术相比,本发明具有以下有益效果:
23.本发明针对电力5g切片网络差异化需求,通过5g切片网络接口需求研究及传输协议设计,为后续电力5g切片的管理及运维提供支撑。通过研发5g承载网切片软件、硬件装置,可实现电力5g切片网络的试验、校正工作。搭建电力5g切片综合管理系统,可实现电力终端通信的可管可控,全面支撑5g切片网络的监视、运维工作。
附图说明
24.图1为本发明优选实施例的电力5g切片网络架构及应用关键技术架构;
25.图2为本发明优选实施例的资源共享切片;
26.图3为本发明优选实施例的控制面共享、用户面独占切片;
27.图4为本发明优选实施例的资源独享切片;
28.图5为本发明优选实施例的nst模型;
29.图6为本发明优选实施例的端到端网络切片策略示意图;
30.图7为本发明优选实施例的基于机器学习的电力调控业务的切片管理及控制方案;
31.图8为本发明优选实施例的服务功能链的部署示例。
具体实施方式
32.下面结合附图及实施例对本发明做进一步说明。
33.应该指出,以下详细说明都是例示性的,旨在对本技术提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本技术所属技术领域的普通技术人员通常理解的相同含义。
34.需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本技术的示例性实施方式;如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
35.一种电力5g切片安全应用与管理方法,参考图1至6,包括5g切片网络的资源全生命周期管理方案、电力5g切片网络架构及组网方案、5g切片设备直采的数据采集技术、5g切片网络资源调配技术、电力5g切片安全部署应用方案及电力切片网络安全管理技术。
36.(1)5g网络切片的引入给网络带来了极大的灵活性,主要体现在切片可按需定制、实时部署、动态保障。为了实现这些功能,对于上层业务由vnf形成的每个切片实例,需要引入专门的管理网元
37.csmf/nsmf/nssmf来实现切片实例的全生命周期管理,包含设计、实例化、配置、激活、运行、终结(去激活)阶段。端到端切片的实现不仅需要端对端的管理,还需要从物理层到资源层到切片层到应用层跨各层次的关联管理。具体内容如下:
38.1)切片资源模型管理
39.切片资源模型管理:5gc核心网的切片开通既可以是共享方式的配置开通,也可以是实例拉起方式的独享资源开通。
40.第一类型:资源共享方式切片
41.新建切片不涉及upf下沉,或者分配单独的网络,而是在核心网层面配置切片标识(snnai)实现业务开通。
42.第二类型:控制面共享,用户面独占切片
43.切片控制面c面共享,为每一个切片分配独立的upf,upf可以是虚拟化,也可以是物理一体化;
44.第三类型:资源独享切片
45.切片控制面c面,u面均独享;
46.通过提供标准化的在线设计功能,以及固化的切片模板,极大的方便了端到端切片的设计(各专业子切片的排列组合)、各专业子切片的设计,能通过图形化界面直观的设计切片关联的物理资源(基站、传输设备、核心网设备、云资源池)、逻辑资源(频谱、flexe端口、隧道、vlan、vnf),资源的具体配置(5qi、vlan优先级、切片业务标识s-nsssai、切片实例标识nsi id)。切片设计过程中涉及的各部门、各专业可基于业务需求,在同一个切片模板上进行拖拉拽设计,方便跨部门的协调,减少线下会议交流的不可预估性,方便、快捷的实现端到端切片的整体设计。
47.2)切片的自动化开通
48.通过切片编排系统、子切片管理系统、厂家omc对切片模板的分层解析,以及各层系统间的标准接口,可实现切片的自动化开通。自动化开通方式减少了手工配置的错误率,缩短了开通时间,且更容易从上层网管对开通过程进行监控、评估。
49.①
5g切片业务模板化
50.从客户业务需求出发,支持5g切片按照vnf、nsd、nsst及nst等tosca模型来定义不同的功能组件的虚拟的专网服务,从而为不同类型业务的特定需求提供专用的sla服务。
51.②
模型驱动的动态服务引擎
52.通过动态服务引擎实现对业务模型的自动分解与编排,实现模型驱动的面向业务的自动化管理,以实现业务敏捷发放。通过动态业务模型的分解与编排,将复杂的业务激活需求简化为一系列基础的网络业务/资源的状态驱动的标准配置激活动作。
53.③
状态驱动的标准化的配置激活过程
54.通过标准化的激活过程管理,最终实现一套相互独立的、基础的、可复用的配置激活接口交互服务,并由此构建轻量的参数可配置的南向接口适配层。
55.(2)电力无线网络中存在控制类、采集类和移动应用类等多样化的业务类型,这些复杂的业务在时延、吞吐量、可靠性、连接密度等方面的需求也各不相同,对电力通信能力提出更高要求。首先,研究接入网、承载网、核心网切片部署策略;其次,研究电力5g切片整体网络架构及组网方案。实现在同一物理网络上利用有限网络硬件资源承载类型多样化、需求差异化的电力5g业务。具体设计内容如下:
56.1)提出接入网、承载网、核心网切片部署策略
57.①
接入网切片部署模式
58.在部署上,根据不同的业务场景以及资源情况,对无线网进行有源天线单元/分布单元/集中单元(activeantennaunit/distributed unit/centralized unit,aau/du/cu)功能的灵活切分和部署。通常来说,针对电力高级计量的这类mmtc场景对时延和带宽是无要求的,可以尽量进行集中部署,获取集中化处理的优势;针对电力高清视频监控、智能巡检等embb场景对带宽要求都比较高,对时延要求差异比较大,cu集中部署的位置可根据时延要求来确定;而针对电力差动保护、精准负荷控制等urllc场景对时延要求极其苛刻,一般会采用共部署的方式,来降低传输时延的损耗。
59.②
承载网切片能力实现
60.承载网网络切片是通过对网络的拓扑资源(如链路、节点、端口及网元内部资源)进行虚拟化,按需组织成多个虚拟网络,即切片网络。承载网转发面的切片可分为软切片技
术和硬切片技术。软切片是在二层或以上,基于统计复用的切片技术,如:基于分段路由(segment routing,sr)的隧道技术,基于虚拟专用网(virtual private network,vpn)、虚拟局域网(virtual localareanetwork,vlan)等的虚拟化技术,可承载智能电网采集管理类业务,如视频监控、办公业务等。硬切片是在一层或光层,基于物理刚性管道的切片技术。如:灵活以太网(flexible ethernet,flexe)技术,光传输网(optical transmissionnet,otn)技术,波分复用(wavelength divisionmultiplexing,wdm)技术等,可用于承载智能电网生产控制类业务,保证安全隔离、超低时延的要求。在实际应用中,也可以采用混合硬切片、软切片的方案,硬切片方式保证业务的隔离安全、低时延等需求,软切片方式支持业务的带宽复用。对于不同业务的差异化需求,综合考虑成本、安全、运营管理等因素,灵活选择网络、设备或者转发面切片。
61.③
核心网切片部署模式
62.根据sla、成本、安全隔离等需求以及标准化进展,核心网切片当前支持控制面共享、用户面不共享的组网方式。核心网通过统一数据管理(unified datamanagement,udm)为不同ue签约不同的切片,支持基于网络切片选择功能(network slice selection function,nssf)智能化选择切片。nssf可以通过ue请求的网络切片选择辅助信息(network slice selectionassistance information,nssai)和签约的nssai、位置区域、切片容量、切片当前负荷等信息进行切片的灵活选择,为ue计算允许接入的nssa(allowednssai)和具体的网络切片实例(network slice instance,nsi)。基于位置信息可以实现大区、省市等大切片的部署,也可以实现如差动保护、智能巡检等小微切片的部署。同时,5g核心网支持通过网络数据分析功能(network dataanalytics function,nwdaf)实时采集网络切片的性能指标,如用户数、当前吞吐量、平均速率等,nssf从nwdaf获取相关的数据并结合ai执行智能化的切片选择策略。
63.2)提出优化设计电力5g切片网络架构及组网方案
64.电力5g业务场景下的网络切片总体从设备端层面和管理控制层面分析。设备端层面主要包括不同切片应用场景的电力终端,管理控制层面主要包括基站、传输承载、核心网等网络,共同为电网提供网络切片服务。并可根据电力业务的不同分区,在三大网络切片基础上,进一步为电力企业不同的业务提供不同的子切片服务,保证电力业务的安全隔离要求,通过与电力各类业务系统对接,实现电力终端至主站系统的可靠承载。
65.3)提出多业务场景下的网络端到端切片策略
66.5g网络切片技术可以满足电力调控业务的多样性需要。一个完整的网络切片应该具备逻辑完整、切片隔离、定制化和可动态伸缩的特征,拟将电力调控业务场景下的网络端到端切片整体解决策略总体分为接入网、传输网、接入网三个方面去分析,简略的端到端网络切片策略如图6所示:
67.核心网作为直接承载业务的网络层级,核心网的设计对于实现整个端到端网络切片至关重要。拟利用虚拟化技术将分组核心网(evolved packet core,epc)虚拟化成虚拟epc,并以容器的的形式实现各虚拟epc之间的隔离。
68.传输网切片主要依靠sdn相关技术实现。基于sdn架构和虚拟化技术能够实现传输网资源的灵活划分,满足5g网络中不同场景的业务需求。
69.接入网作为端到端网络切片中的一个关键组成部分,需要根据调控业务的sla需
求,进行灵活的定制。
70.综上所述,通过对核心网、传输网、接入网三部分的网络设计,可实现电力调控业务场景下的网络端到端切片部署。
71.4)提出多业务场景下的网络端到端切片管理方法
72.考虑电力调控业务场景的多样性、电力信息传输的不确定性,电力5g切片管理需要逐步向自主化、动态化发展,实现切片的智能化管理。本发明采用基于机器学习的方法实现端到端切片的控制及管理。机器学习则被认为是实现管理自动化、智能化的一种重要方法。机器学习是指在理论、方法、技术及应用系统方面研究人类社会的智能行为,通过神经网络等算法对数据内部信息进行挖掘,建立输入输出映射神经网络模型,进而可实现对未知参数的精准预测。
73.基于机器学习的电力调控业务的切片管理及控制方案如图7所示:
74.针对不同电力调控业务场景,首先,分析5g电力业务特征,收集端到端网络的电力业务特征,输入至卷积神经网络进行学习,建立机器学习模型。其次,根据实时电力业务,完成切片创建、切片应用、切片更新、切片释放与回收、切片再分配五个步骤,以实现切片管理与控制。
75.(3)5g核心网切片主要采用nssf实现切片的选择。nssf(network slice selection function)支持基于nssai(network slice selection assistance information)、位置信息、切片负荷信息等各种策略,智能化的选择切片。基于位置信息可以实现全国、省市等大切片的部署,也可以实现如工业园区、奥体中心、智慧小区等小微切片的部署。同时,5g核心网支持通过nwdaf(network data analytics function)实时采集网络切片的性能指标,如用户数、当前吞吐量、平均速率等,nssf从nwdaf获取相关的数据并结合ai执行智能化的切片选择策略。具体的设计内容包括:
76.1)智能切片资源调配
77.根据覆盖区域,自动生成符合用户业务需求的组网拓扑,根据组网拓扑选择符合用户业务需求的各子网资源
78.逻辑资源包括:
79.无线:vlan、基站子接口ip
80.承载:vlan、vcid、vrf
81.核心:vlan、新实例化网元管理ip、接口ip、业务ip
82.无线:采用qos实现无线子网切片的动态资源分配或资源预留,调用无线网管接口进行切片部署;
83.承载:目前采用软切(l3vpn),中远期采用flexe sr方式,承载网控制器实现(通道和切片标志映射在tn-nssmf中),通过承载网控制器进行切片部署;
84.核心:通过nfvo拉起虚拟nf,通过5gc网管进行切片配置部署
85.2)端到端的自动化编排开通
86.①
基于意向的业务模型设计
87.从业务自身需求出发,根据业务特征、关系、行为与策略建立基于意向的可复用的业务模型,重点是提取业务特征而不是如何实现。业务模型是可拆解复用的对象组件模型,不是烟囱式的单体结构,其业务特征的变化会触发业务动作,业务动作通过关系和策略来
表达和驱动。支持vnf模型具备csar文件导入解析能力,以及提供创建多厂家和不同类型vnf网元的服务接口,ns模型管理支撑自定义配置vnf、vl以及vnf的外部cp与vl的连接关系,最终生成用于实例化ns的nsd;以及面向5g切片/子切片nst、nsst模型;
88.网络切片模板nst-nsst-nsd-vnd分层如下:
89.网络切片模板的基本信息(如:标识、网络切片类型、优先级等)
90.网络切片sla参数模型(如:覆盖区域、时延、容量、移动性、可靠性等)
91.网络切片所包含的无线、传输和核心网的切片子网模型nsst信息和网络切片策略信息(如:sla闭环策略、自愈策略等)
92.切片设计模块负责资源、网络服务、业务设计,提供可视化建模及设计工具,是网络能力面向业务运营、网络运行的网络就绪、自动化部署及开通等的支撑。提供各类服务对象的基础数据管理,服务对象能力api的基础信息的管理。
93.②
模型驱动的端到端的自动化编排开通
94.按照设计出的5g切片tosca模型进行解析nst(nsmf)-》解析nsst(nssmf)-》解析配置脚本(omc)-》配置切片参数(设备),并与ct设备厂家nssmf对接,最终实现5g切片端到端的自动化编排开通。
95.3)基于5g-mec计算平台的业务编排技术
96.业务编排是在业务部署的时候,基于网络的各种基础设施,生成满足业务需求的网络功能,并自动化地执行功能部署及调整。本项目拟基于nfv技术,实现面向电力业务的业务编排。nfv技术是一种通过标准的it虚拟化技术,把网络功能以软件的形式统一部署到工业化标准的高性能、大容量的服务器、交换机和存储平台上的新一代网络通信技术。nfv技术主要以端到端的服务功能链的形式为电力业务提供灵活的服务,服务功能链定义了一组排列顺序固定的虚拟网络功能,电力业务的流量需要按照排列的顺序经过网络功能。因此,研究电力业务的编排技术,就需要研究如何将电力业务对应的服务功能链高效的编排到底层的5g mec网络中,求解mec网络资源的最优化分配方案。
97.服务功能链的部大致可以分为虚拟网络功能的部署和连接虚拟功能的虚拟链路的部署两部分。图8给出了一条服务功能链部署的示意图,该条服务功能链共有5个虚拟网络功能,服务功能链编排器依据服务功能链的请求以及当前网络状态,将服务功能链所需的vnf分配在mec节点1、mec节点5、mec节点2、mec节点4、mec节点3上,另一方面,编排器为该条服务功能链规划的路径为(s,1)
→
(1,5)
→
(5,2)
→
(2,4)
→
(4,3)
→
(3,d)。
98.服务功能链的部署问题是一种典型的np-hard的最优化动态任务调度问题,服务链部署算法需要在满足服务功能链的资源需求、服务质量需求等需求的前提下完成服务功能链的部署,并在某一种优化目标上取得最优值(例如成本、能耗、时延、负载均衡等),解决该类最优化问题的算法一般包括启发式算法、人工智能算法等。
99.由于mec网络中的计算资源、带宽资源等网络资源十分有限,所以可将以服务链部署的成本作为优化目标,即最小化服务链部署消耗的物理资源,包括虚拟功能消耗的计算资源和存储资源以及虚拟链路消耗的带宽资源等,以缓解mec网络的服务压力。
100.(4)在电力网络中,不同电力应用场景对网络的带宽、时延、抖动、授时等因素需求不同。通过单一网络同时为不同电力应用场景提供服务,会导致网络架构复杂、网络管理效率和资源利用效率低下。因此,电力网络需要依托5g网络构建融合核心网,通过利用电力5g
切片来实现复杂业务功能,满足差异化场景需求。然而,不同的虚拟网络共享底层物理资源,使不同切片间可能存在无意或恶意的干扰行为,造成性能下降或信息泄露。因此,需要研究电力5g切片安全部署架构,提出电力5g切片安全部署资源分配方法。具体设计内容如下:
101.1)提出电力5g切片安全部署架构
102.当智能设备初始附着到网络时,就会触发网络切片的选择过程。切片的选择过程取决于智能设备的签约数据、本地配置信息、漫游协议、运营商的策略等,在网络切片的选择过程中,需要综合考虑以上参数,才能为终端选择最佳的切片类型。在网络架构中引入ssf节点,网络切片选择功能(ssf)具有以下功能(网络切片选择功能可以部署在接入网侧、核心网侧)。
103.附着流程:在初始附着流程中ssf基于ue的签约信息和业务类型等参数为用户选择一个合适的切片。ssf在选择切片之前还会执行ue的标识检查过程。ssf可能将ue连接到一个默认的切片上或者是一个ue专有的切片上。ssf为ue选择合适的切片之后,还可能继续执行网络节点选择功能(nnsf),并将选择的控制面节点标识发送给ran;或者是ssf选择网络切片之后,将选择的切片标识传递给ran节点,再由ran执行nnsf,进行切片内部的节点选择过程。
104.业务请求流程:ran节点基于初始附着流程中为ue分配的专有切片标识,先将匹配某一电力业务请求消息转发至切片共享的移动性管理网络功能模块。移动性管理网络功能模块判断用户当前附着的切片是否可以为用户提供所需要的业务。如果不能为用户提供所需业务,移动性管理网络功能模块将转发ue的业务请求消息至ssf,由ssf决定切片的类型。ssf根据用户提供的信息以及ue的签约数据,为用户选择含适的网络切片。
105.为进行电力切片选择,电力网络切片架构将控制面功能分为通用控制面功能(ccnf)和网络切片相关控制面功能(slice cpnf,scnf)。其中通用控制面功能ccnf在多个切片实例间共享。除此之外,切片实例还共享用户签约库和策略控制功能。ccnf中包含认证及授权、网络切片实例选择器(nsis elector)、网络功能实例选择器(nfis elector)、nas路由、移动性管理(mm)功能。用户的签约数据库中包含ue所允许接入的网络切片实例信息,ccnf可根据该信息决定是否允许用户接入某个网络切片。
106.位于ccnf中的nsis elector负责为ue选择所接入的网络切片。当ue接入时,ue会携带相关的辅助信息(如service type、ue type、nsiid、temporaryid等),nsis elector根据ue提供的辅助信息,结合ue签约所允许接入的网络切片类型,确定将ue接入一个或多个网络切片。在完成nsi的选择之后,nfs负责从所选nsi中选择对应的控制面功能(scnf),以便将用户的控制面信息发送到scnf中,进行下一步处理。在该架构中,网络切片实例分别有自己独立的用户面实例。
107.2)提出电力5g切片安全部署资源分配方法
108.基于上述构建的电力5g切片安全部署架构,电力5g切片资源动态分配流程如下。
109.首先,引入图论来对物理网络中可以部署微服务和参与网络切片的节点和链路集合进行建模和描述。在建模过程中,考虑网络切片及微服务的隔离特性,允许多个微服务组件部署在同一个网络节点上,同时由于节点资源的限制,一个微服务也可分布式地部署在多个虚拟化节点上。每个虚拟化节点可以提供一定量的资源来承载微服务。在一个完整的
电力5g切片中,特定硬件的网元功能是不同的,虚拟化网元运行在虚拟节点的虚拟机中,需要为每个网络切片分配一定量的资源,包括cpu、内存、硬盘等。
110.其次,采用线性映射模型,将电力5g切片对资源的需求量建模为其承载业务数据量的线性函数。同时,利用缩放系数来定义电力5g切片对业务流量的影响。在此基础上,综合考虑网络成本、开销、电力5g切片安全等性能,可以得到一个切片构建、切片映射以及微服务调度的动态组合资源分配优化问题。
111.最后,采用启发式的并能协调来求解该复杂优化问题,获得电力5g切片安全部署资源分配算法。考虑到线上动态部署和调整切片的情形,设计一种启发式的快速求解电力5g切片资源管理的算法,可以通过以下两部分来完成:第一步,基于维特比算法的单步最优流量调度和资源分配进行算法设计。第二步,基于启发式的多路径贪婪算法(mpg)完成进一步的电力5g切片安全架构设计。
112.(6)5g网络除了需要支持移动互联网业务场景之外,还需要支持工业互联网、车联网以及物联网为典型代表的垂直行业应用场景,因此传统的安全防护机制将难以满足5g时代新的安全需求。需要结合电力切片在各类电力业务的应用场景,设计电力切片网络安全管理方法。通过分析5g电力切片网络面临的安全威胁,并对网络切片安全技术途径进行设计,最后提出网络切片安全管理技术。具体设计内容如下:
113.1)提出电力切片网络面临的安全威胁
114.电力网络切片面临的安全威胁包括切片的安全隔离保障、终端接入切片的安全保障、切片的安全管理保障、切片内部实施子切片间的接口保护等,具体如下。
115.网络切片的安全隔离:在没有隔离的情况下,攻击者可以从一个切片发起向另一个切片的攻击。具有弹性容量特性的切片可能消耗其它切片的资源,导致其它切片资源不足;攻击者还可以在非法接入一个切片之后,窃取其它切片的信息,特别是在当单个终端同时接入多个网络切片时,终端的隔离性问题非常重要。
116.终端接入切片的安全:在终端进行切片选择过程中,数据有可能被篡改或伪造,这可能导致切片选择错误,使终端不能从正确的切片获得服务或者使未订阅服务的终端被接入切片;用户在网络切片选择过程中使用的隐私信息可能被拦截或监听;如果终端接入切片缺乏认证和授权,则非授权的终端可能会进入到网络切片中消耗切片资源;如果对服务的接入缺乏合适的授权机制,则可能导致不同类型的攻击行为。如果接入过程没有受到保护,窃听接入链路的攻击者可能获得一些敏感服务权限,甚至得到相关的信息并劫持正在进行的会话注入自己的数据报文;攻击者还可通过重放窃听到的报文,导致系统不必要的运行超载,影响系统可用性和服务质量。
117.网络切片管理的安全:系统向操作者提供了对切片的管理能力,比如设置资源共享的参数或者动态创建网络切片,这种能力必须掌握在被授权的操作者手上。攻击者如果非法获取了对切片的管理能力后,终止一个切片的运行或者损害一个关键的网络功能。
118.切片内部通信安全:当网络切片完成专用网络功能的时候,切片之间的通信将不可避免。
119.2)提出网络切片安全技术途径
120.针对电力切片网络存在的隔离、安全传输等问题,首先需要研究虚拟网络切片的构建技术,建立虚拟网络安全服务功能模型,为不同安全等级的虚拟网络切片的构建提供
理论支撑与方法指导;研究基于nfv/sdn的多级密码安全保障机制,建立切片内、切片间的安全通道,确保数据传输的机密性、完整性以及防重放攻击等。研究切片内与切片间的数据转发与边界控制机制,实现子切片间数据的安全转发,并实施基于安全策略的数据流控制,防止非法或未授权数据流的越界;
121.其次,在网络切片的安全隔离技术方面,构建一个独立的安全资源通道,以达到不同切片之间私有数据、网络资源、安全资源的隔离,从而防止数据的流动,资源的侵占,以避免用户信息的泄漏。网络切片技术将会支持更加丰富的服务和应用,不同的业务产生差异化的安全需求,针对不同业务功能的虚拟网络切片的安全保护机制需要作出相应的调整和改变,保障不同应用场景下切片间存在的差异化安全机制,如算法、协议甚至机制完全不一样。
122.再次,电力系统需要支持海量设备的接入管理,因此需要考虑终端设备与网络切片间的安全接入问题,同时兼顾效率,实现无线移动终端设备的高效安全接入。需要通过研究各种差异化接入场景下的认证和授权方法、密钥共享方式,研究制定统一的切片安全接入框架和流程。
123.3)提出网络切片安全技术实现方式
124.切片隔离
125.根据网络切片要求的定义功能,基于签约数据、网络策略和能力用户分配到网络切片的不同实例中,每个切片应该具有独立的安全策略,以稳固的方式相互隔离。当单个用户通过多个网络切片访问服务时,要提供切片间的安全隔离。网络切片安全隔离需要考虑网络切片实例的标识、切片选择和漫游场景,应确保网络切片实例资源不会相互影响。
126.切片接入认证
127.为了确保能够为用户正确选择和访问切片,将合适的网络切片分配给适当的签约用户,要保证切片的接入认证安全。当用户接入切片时,对切片进行注册,通过切片访问控制保证用户接入正确切片,通过会话机制防止用户的未授权访问。在切片选择过程中,提供交互消息的真实性、完整性和机密性的能力。
128.安全机制的差异化
129.5g网络切片应支持在认证方法、凭证类型、用户存储库、控制策略和安全策略方面的安全机制差异化。安全策略可能包括隔离策略、加密算法、完整性保护算法、密钥长度以及密钥到期策略。应为每个网络切片定义不同的访问安全机制以及会话安全机制。
130.切片的通信安全
131.根据网络切片功能的敏感级别和网络租户的需求,对网间切片接口和通信进行保护。在切片和外部网络进行通信时,切片内vnf与外部网络vnf之间相互进行认证,设置允许vnf之间访问的白名单防止非法通信,且设置访问频率监控,防止dos/ddos攻击。在不同切片间通信时,切片间在管理层通过分权分域实现切片管理和编排隔离,通过在网络层划分vlan实现切片之间的逻辑安全隔离,通过硬件资源的物理隔离保证一个切片的异常不会影响其他切片功能,切片之间通过加密隧道保证通信安全。在切片内vnf之间进行通信时,vnf之间进行相互认证保证通信双方可信,vnf之间建立加密隧道保证通信安全。
132.与第三方用户交互的安全
133.第三方垂直行业用户应通过标准化服务接口访问网络切片服务,必须对用户使用
tls执行双向认证,在双向认证之后采用oauth的授权机制对发送的服务请求进行授权,并通过tls方式提供接口之间的完整性保护、抗重放保护和机密性保护。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
